Nobelium، گروهی که پشت حمله SolarWinds قرار دارد، هنوز زرادخانه بزرگی از قابلیتهای هک پیشرفته را در اختیار دارد. این نتیجه گیری متخصصان امنیتی Mandiant در یک مطالعه اخیر است. خطر این هکرهای -احتمالاً مورد حمایت دولت- هنوز برطرف نشده است.
یک سال پیش، هکرهای نوبلیوم موفق به نفوذ به متخصص امنیت آمریکایی SolarWinds شدند. متعاقباً بسیاری از مشتریان این متخصص امنیتی، حدود 18,000 نفر از جمله مایکروسافت و همچنین دولت آمریکا هک شدند. این با همه عواقبش.
تحقیقات بیشتر در مورد پیشینه هکرها نشان داد که هکرهای نوبلیوم مظنون به دریافت کمک از یک کشور هستند. این احتمالا روسیه است.
نوبلیوم بیشتر به خاطر تاکتیکها، تکنیکها و روشهای پیشرفتهاش معروف است که به عنوان TTP نیز شناخته میشود. به جای اینکه قربانیان خود را یکی یکی مورد حمله قرار دهند، ترجیح می دهند شرکتی را انتخاب کنند که به چندین مشتری خدمات ارائه می دهد. از طریق هک شرکت دوم، هکرها به دنبال نوعی «کلید اصلی» می گردند که سپس به سادگی درها را به روی مشتریان «باز می کند».
منتخب تحقیق
تحقیقات Mandiant نشان میدهد که Nobelium و دو گروه هکر UNC3004 و UNC2652 که بخشی از این مجموعه هکری هستند، فعالیتهای TTP خود را تکمیل کردهاند. به خصوص برای حمله به cloud فروشندگان و MSP ها برای دستیابی به مشاغل بیشتر.
تکنیکهای جدید هکرها استفاده از اعتبارنامههایی است که از طریق کمپینهای بدافزار سرقت اطلاعات سایر هکرها به دست آمدهاند. با این کار، هکرهای نوبلیوم به دنبال اولین دسترسی به قربانیان بودند. هکرها همچنین از حسابهایی با امتیازات جعل برنامه کاربردی برای «برداشت» دادههای ایمیل حساس استفاده کردند. هکرها همچنین از خدمات پروکسی IP برای مصرف کنندگان و زیرساخت محلی جدید برای برقراری ارتباط با قربانیان آسیب دیده استفاده کردند.
تکنیک های دیگر
آنها همچنین از قابلیتهای جدید TTP برای دور زدن محدودیتهای امنیتی در محیطهای مختلف، از جمله ماشینهای مجازی، برای تعیین تنظیمات مسیریابی داخلی استفاده کردند. یکی دیگر از ابزارهای مورد استفاده دانلودر جدید CEELOADER بود. هکرها حتی موفق شدند به دایرکتوریهای فعال حسابهای Microsoft Azure نفوذ کنند و «کلیدهای اصلی» را که به دایرکتوریهای مشتریان یک طرف آسیبدیده دسترسی میدهند، سرقت کنند. در نهایت، هکرها موفق شدند با استفاده از اعلانهای فشار در گوشیهای هوشمند از احراز هویت چند عاملی سوء استفاده کنند.
محققان Mandiant متوجه شدند که هکرها عمدتاً به دادههایی که برای روسیه مهم هستند علاقه داشتند. علاوه بر این، در برخی موارد اطلاعاتی به سرقت رفته بود که هکرها مجبور بودند برای حمله به سایر قربانیان ورودی های جدیدی ایجاد کنند.
مشکل دائمی نوبلیوم
این گزارش نتیجه می گیرد که حملات نوبلیوم به این زودی متوقف نخواهد شد. به گفته محققان، هکرها به بهبود تکنیکها و مهارتهای حمله خود ادامه میدهند تا مدت بیشتری در شبکههای قربانیان بمانند، از شناسایی جلوگیری کنند و عملیات بازیابی را ناکام بگذارند.